Tay không tiêu diệt virus máy tính Update

kenzizi

Thành viên thân thiết
Thành viên thân thiết
Tham gia
21/4/2010
Bài viết
1.232
Khi virus hoạt động chia làm 2 trường phái, một là âm thầm chạy, không bộc lộ ra một triệu chứng hay dấu vết nào (mang tính đánh cắp thông tin), loại khác là chạy cực kì sung sức, thực hiện nhiều hành động phá hoại công khai, chiếm nhiều tài nguyên của bộ xử lý (mang tính phá hoại). Có khi bạn mở Task manager ra thấy "CPU usage" luôn ở mức trên 90% trong khi máy đang không hoạt động gì cả, chạy cực kì chậm.
45991274190408.jpg

Lý do là vì virus đã giả dạng là một ứng dụng hệ thống của hệ điều hành windows (ví dụ như là svchost.exe thì nó giả là svchoost, svhost, taskmgr.exe thì nó giả là taskmgrz.exe - một loại back door) và lén chạy nền.
Lúc này, bạn cần phải ra tay tiêu diệt lũ "chuột bọ" đang hoành hành phá hoại. Các công cụ cần thiết để tiến hành công việc, đã có sẵn trong Windows, chỉ cần vào start - run - gõ tên ứng dụng đó.
1. msconfig //Công cụ quản lý các dịch vụ, driver, ứng dụng tự khởi động
2. cmd //Môi trường điều khiển máy tính = chế độ dòng lệnh
3. regedit //Công cụ chỉnh sửa registry - một cơ sở dữ liệu các cấu hình, thông số của windows
4. notepad //Trình soạn thảo
5. gpedit.msc //Quản lý các thông số, cấu hình được thiết lập trong Windows
6. taskmgr //Task manager,công cụ quản lý các tiến trình đang hoạt động
Phòng "sâu hại"
Tất nhiên phương pháp đơn giản nhất mà ai cũng biết đó là cài đặt các chương trình antivirus như là Norton, McAfee, BKAV,... và để ở chế độ tự bảo vệ (auto protect). Nhưng ở đây chúng ta phòng bằng tay nên sẽ tập trung vào những kĩ năng, kinh nghiệm cần có để cảnh giác và đề phòng.
Nguyên tắc để lây nhiễm của virus là tự nhân bản và sao chép chính nó thông qua các phương tiện lưu trữ như : đĩa cứng, flash USB, đĩa mềm... Và thông thường chúng sẽ được tự nạp vào hệ điều hành mỗi khi khởi động xong.
55301274190450.jpg

Như vậy, để phòng ngừa thì các bạn cần ngăn cản không cho virus xâm nhập vào, bằng cách tăng cường cảnh giác :
- Không nên double click chuột để mở một thiết bị lưu trữ nào đó trong windows explorer, nhất là đối với flash USB (virus hay lây lan qua đường này nhất), mà các bạn nên click phải chuột, chọn "explore" từ menu ngữ cảnh, hoặc truy nhập vào từ thanh Address trên toolbar (nhấn phím F4).
Bởi vì khi bạn double click để mở 1 thiết bị lưu trữ, windows sẽ gọi ứng dụng được khai báo trong file autorun.inf (dòng OPEN=...), và nếu ứng dụng này là virus thì như vậy virus đã được kích hoạt chạy, nó sẽ tự động sao chép chính nó vào ổ cứng của bạn (thường nằm trong thư mục Rootwindowssystem32... hoặc một "chốn xó xỉnh" nào đó mà người dùng ít để ý, để có thể tiếp tục hoạt động lâu dài và kín đáo về sau.
- Không nên tùy tiện click vào những đường dẫn đến các website lạ, chấp nhận và chạy các script lạ khi duyệt web hoặc đọc các email, download và sử dụng những screen saver .scr hay các ựng dụng .exe, .com, .bat lạ
- Cảnh giác với các cra.ck, patch, loader, tools, ... được download về từ internet hay copy từ đâu đó.Tốt nhất là mỗi khi thử bạn nên chạy trên account Guest của Windows, khi đó do bị hệ điều hành giới hạn một số chức năng và quyên hạn nên virus sẽ không thực hiện được một số thao tác phá hoại (nếu có), hoặc nếu có thể - cài đặt riêng cả 1 hệ điều hành để vọc thì sẽ rất hiệu quả.
Tất nhiên là dù 1 bro có giỏi đến đâu đi nữa thì cũng không thể chỉ dùng mắt mà quản lý và ngăn chặn được hết tất cả virus xâm nhập vào PC, bạn cũng nên kết hợp sử dụng một soft antivirus nào đó cảm thấy tâm đắc.
Và người ta hay nói đối với virus (cả virus sinh học và virus tin học) thì phòng bệnh vẫn hơn chữa bệnh, ngăn cản không cho virus xâm nhập vào sẽ an toàn hơn là để nó vào rồi mới tìm cách xử lý. Bởi vì virus có rất nhiều loại, thiên biến vạn hóa khôn lường, rất khó để có thể tiêu diệt một cách hoàn toàn 100%, mà chủ yếu là ta chỉ cách ly chúng ra. Và nếu như bạn đã cảnh giác cao độ nhưng vẫn "dính chàm" thì đành phải tìm cách diệt chúng vậy.
Tìm và diệt
Diệt virus chẳng qua là tìm xem virus nằm ở đâu để cách ly ra hoặc là xóa hẳn chúng, thông thường việc này sẽ được làm tự động thông qua một soft antivirus nhưng lẽ thường tình là máy tính vẫn không thể thông minh hơn con người, chúng chỉ giỏi ứng dụng, làm việc nhanh, chính xác cứ không thể biết nghiên cứu, suy luận và tư duy sáng tạo - Những đặc điểm mà chỉ con người mới có thông qua quá trình lao động và làm việc.
Virus thường là những file có thể thực thi .exe, .com, .scr hoặc là những file dữ liệu bị nhúng "mã độc", như ở các file office của Windows hay bị nhúng những macro mang tính phá hoại, cả định dạng trình diễn .swf (shockwave flash) của Macromedia dạo gần đây cũng bị lợi dụng để phán tán virus, sau đó virus sẽ được bí mật tự động sao chép vào một chốn "xó xỉnh" nào đó, như là -Windowssystem32... -Windowsinf... -Windowssystem32drivers...
Và thường được ngụy trang rất kín đáo. Sau đây là một số cách ngụy trang phổ biến của virus:
-Giả làm ...folder (là file thực thi .exe nhưng bề ngoài mang thuộc tính icon là folder) thế là bạn tò mò mở xem: "ủa thư mục nào lạ thế nhỉ?"
-Giả làm ... file tài liệu : virus có thể "dụ khị" bằng cách đặt tên file có 2 đuôi, ví dụ như là tailieu.txt.exe với icon là của file text,nhìn vào bạn sẽ lầm tưởng là file text vô hại và tò mò mở ra xem thế là "dính chưởng".
-Giả làm ... các ứng dụng hệ thống trong windows như msconfig, task manager với các tên file thực thi gần giống, ví dụ như taskmgr.exe (thật) -> taskmgrz.exe (giả),svchost.exe (thật) -> svchoost.exe,svhost.exe (giả)
Các bạn nên thường xuyên vào những khu vực này để kiểm tra. Nếu phát hiện có những ứng dụng lạ nào vừa được thêm vào mà mình không hề biết nó về thuộc chương trình nào thì hết 99% có thể là virus.

Tay không tiêu diệt virus máy tính (phần 2)


Với mong muốn tiêu diệt tận gốc virus, đã có nhiều phần mềm diệt virus mới ra đời, nhưng với những con virus "cứng đầu" thì những phần mềm đó đã tỏ ra vô dụng. Ví dụ như phimnguoilon.exe, tự tạo tập tin cùng tên khi một thư mục mới được tạo thành. Nó còn thay thế tập tin userinit.exe làm cho máy tính của bạn không thể khởi động khi nó bị tiêu diệt.
42941274456326.jpg

Hơn nữa, nó tự chạy lại khi bị tắt một cách đơn giản bằng Task Manager. Một loại virus nữa cũng khá nguy hiểm: Làm ẩn mọi thư mục trong máy tính và copy chính nó với tên thư mục, nó cũng kill luôn file userinit.exe , cao thủ hơn là cài code, khi cứ khởi đọng explore.exe là nó chạy. Nó vừa phá hoại, vừa "đẻ" thêm nếu nó bị diệt. Một con khác còn hung hãn hơn: thông báo rằng: "You're being attacked" (Bạn đang bị tấn công). Và chạy khắp nơi làm tiêu tốn tài nguyên, đồng thời k cho chạy bất cứ chương trình nào khác, tự nhân bản thành hàng trăm con, Safe Mode cũng die. Những con virus này không thể tiêu diệt bằng các thế võ công sơ đẳng. Sau đây là một vài kinh nghiệm để đối phó.
1. Công cụ cần thiết và nên có:
- Cần thiết:
+ Một Registry Editor thay thế như Tuneup Regitry Editor
+ Task Manager thay thế: Process Explore
Có thể trong Windows đã có nhưng để có thể bị phá huỷ mất
- Nên có:
Hệ điều hành thứ 2, đĩa cài hệ điều hành, Linux, các công cụ Tweak, unblock,.v..v...
2. Nguyên tắc chung:
- Không xoá virus dù đã xác định đúng mà nên để các AV diệ, chỉ thay bằng tập tin gốc của hệ điều hành, hoặc bằng tập tin gốc của hệ điều hành để tránh sự cố.
- Ngắt kết nối Internet (hoặc có mạng LAN thì cũng rút dây) nêu có.
- Chỉnh lại các khoá regedit bị virus thay đổi.
- Ẩn các phân vùng không cần thiết.
3. Khảo sát tình hình:
- Kiểm tra các file autorun.inf và autorun.ini tìm thấy trong các ổ đĩa. Nếu tìm thấy file *.com thì xoá luôn. Nếu là file *.exe thì ghi lại tên, dung lượng, ngày tạo và copy làm mẫu.
- Mở sẵn trình task manager thay thế lên, chú ý quan sát: mọi tiến trình đều có thể là virus. Bạn hãy ghi lại tên đường dẫn đến chúng, trong Process Explore, xem tiến trình nào có biểu tượng thư mục thì đều là virus. Bạn hãy ghi lại tên đường dẫn đến chúng, trong process explore, xem các tiến trình nào đứng đầu các cây thư mục, ghi lại PID. Mở Properties của chúng lên, xem prameter, file nào khởi động chúng và chúng chạy với tài khoản nào (nếu là system thì là service). Tiếp tục lấy mẫu và copy virus vào nơi cách ly.
Dùng CurrProcess để tìm module không đáng tin cậy của tiến trình virus.
- Thử tấn công 1 vài rồi toàn bộ virus bằng cách tắt chúng đi, mở các phần mềm exe cho đến khi chúng chạy lại.
- Ghi lại toàn bộ kết quả khảo sát.
4. Tiêu diệt bằng tay:

64081274456348.jpg

- Nếu trên hệ điều hành khác ̣̣̣(Linux)
+ Khởi động lại máy, vào hệ điều hành và chạy trình quản lý file. Tìm kiếm các file trùng tên và có dung lượng trùng với virus, và các module đáng ngờ.
+ Trong Hacao Office Linux. Bấm Alt + F7 để tìm kiếm, chọn ổ hệ thống trong mục Search in, chuyển qua Thẻ Advances, đánh dấu trước ô File size, chọn bằng =, nhập dung lượng của Virus vào (VD: 328 KB) rồi bấm Search. Chú ý: Cũng có thể file hệ thống cũng có cùng dung lượng virus.
+ Xoá các file *.pif, *.com, *.bat và file autorun.inf, hay file có phần mở rộng đáng ngờ.
+ Kiểm tra version, icon, phần mô tả file nếu có version 1.0.0.0 hay 0.0, icon thư mục và có dung lượng bằng virus thì đã tóm được 1 chú. Dùng 1 file an toàn để overwrite nó, như Rundll32.exe, file dll của hệ thống chẳng hạn. Nếu chỉ dùng mẫu duy nhất cho 1 một file, bạn có thể thay nó bằng file hệ thống gốc.
+ Sao lưu lại file virus
+ Copy lại các bản gốc cho các file: Userinit.exe, regedit32.exe, regsvr32.exe, rundll32.exe... để đảm bảo hoạt động sau khi virus bị diệt.
+ Nếu có đĩa cài đặt Windows thì rất đơn giản, bạn giải nén file có tên giống, có phần mở rộng tương tự nhưng có dấu Shift - là xong. Đây là file cài đặt gốc của chúng. Có thể cài ở chế độ nâng cấp để phục hồi file hệ thống. Nên làm trong linux để tránh lan rộng và đễ hơn khi làm trong DOS
+ Sau khi hoàn tất, khởi động lại máy để test.
- Ngay trên hệ điều hành hiện tại:
+ Nếu virus tự chạy thêm khi diệt, đừng trực tiếp tắt nó, nếu không muốn reset máy.
+ Nếu Virus không cho khởi động phần mềm lạ (virus có biển hiệu). Khởi động lại máy, bấm F8 để lựa chọn khởi động máy với Safe mode with command Prompt hoặc môi trường khác rồi copy Process Explore vào Start up hay overwrite Explore.exe trong thư mục windows.
- Dùng chức năng Suspend của Process Manager và lần diệt chúng.
- Tìm kiếm và thay thế như trên
- Khởi động lại máy.
5. Chỉnh lại hệ điều hành:
- Dùng công cụ tweak và unblock để mở các công cụ cần dùng, xoá đường dẫn khởi động của virus, phục hồi safe boot....
- Disable service virus nếu có.
- Dùng Tuneup Registry Editor, tìm từ khoá với tên con virus, xoá đường dẫn đến chúng nếu đó là một phần của parameter. Chú ý những virus cùng tên file hệ thống.
- Chạy lệnh Regsvr32 -u <Đường dẫn đến file dll của virus>. Nếu có thông báo chưa gỡ được thì bạn cứ xoá luôn. Nếu thông báo gỡ thành công thì chạy tiếp lệnh sau: regsver32 -i <Đường dẫn đến file dll của virus>. Mục đích để gỡ triệt để virus.
- Để hiện file ẩn. Start > Run > Gõ cmd. Gõ tiếp cd\ vào dấu nhắc..(Nếu muốn chuyển sang phân vùng khác thì nhấn tên phân vùng kèm dấu 2 chấm (: ) gõ tiếp attrib * /s /d -s -h -r -a. Tất cả các file ẩn sẽ hiện lên.
6. Sau khi hoàn tất:
- Tạo bản sao cho hệ điều hành (VD: sử dụng Norton Ghost...)
- Gửi mẫu cho Bkav (Gửi tại đây: [You must be registered and logged in to see this link.] .Nếu chưa có acc ở đó thì xem tại đây: [You must be registered and logged in to see this link.])
- Nếu muốn luyện công thì cấy thêm virus vào phân vùng nào đó và "làm việc" từng con 1.


Chúc các bạn thành công
 
×
Quay lại
Top Bottom